Rotación de claves de CMEK

Las claves de encriptación administradas por el cliente (CMEK) te permiten proteger los datos en losGoogle Cloud servicios compatibles con una clave criptográfica que controlas en Cloud KMS. Puedes configurar la rotación automática de claves según un programa establecido o rotar las claves de forma manual. En este documento, se explica qué sucede en un servicio integrado en CMEK cuando se rota la clave subyacente de Cloud KMS.

Cómo funciona la rotación de claves con la CMEK

Cuando rotas una clave en Cloud KMS, Cloud KMS crea una versión nueva de esa clave. La versión de clave nueva se convierte en la versión principal y se puede usar para encriptar las claves de encriptación de datos (DEK) que protegen tus datos. Las versiones de clave anteriores permanecen activas y están disponibles para desencriptar las DEK que se encriptaron con ellas. Este proceso garantiza que siempre puedas acceder a tus datos anteriores.

Los diferentes servicios integrados en CMEK manejan la rotación de claves de manera diferente, pero hay tres patrones principales:

  • La nueva versión de la clave protege todos los datos: Cuando el servicio detecta que una nueva versión de la clave se convirtió en principal, vuelve a encriptar automáticamente las DEK que se encriptaron con la versión anterior de la clave. Las DEK que protegen tanto los datos nuevos como los existentes se encriptan con la versión actual de la clave primaria. Volver a encriptar las DEK existentes puede tardar un tiempo en completarse, pero, luego, ya no se usará la versión de clave anterior.
  • En adelante, se usará la versión de clave nueva: Cuando el servicio detecta que una versión de clave nueva se convirtió en principal, las solicitudes de encriptación posteriores usan la versión de clave nueva. Las DEK que protegen los datos de este recurso usan una combinación de versiones de clave actuales y anteriores.
  • No se usa la versión de clave nueva: El servicio sigue encriptando las DEK con la versión de clave original que se configuró cuando se creó el recurso, independientemente de si existen versiones de clave primaria nuevas.

Comportamiento específico del servicio después de la rotación de claves

En la siguiente tabla, se muestra el comportamiento de rotación específico del servicio para los recursos que se pueden proteger con CMEK. En la siguiente tabla, se describen los detalles de la rotación para cada tipo de recurso o conjunto de tipos de recursos:

  • Can inherit key: Indica si el recurso puede heredar una clave de un recurso principal.
  • Can use unique key: Indica si el recurso puede usar su propia clave única, no heredada de un recurso superior.
  • Can change key: Indica si puedes seleccionar una nueva CMEK para proteger el recurso mientras lo actualizas.
  • Datos nuevos: Indica si las DEK nuevas se encriptan con la versión de clave primaria o con la versión de clave original que era principal cuando se configuró CMEK para el recurso.
  • Datos existentes: Indica si las DEK existentes se vuelven a encriptar con la versión de clave primaria o permanecen encriptadas con la versión de clave original que era primaria cuando se configuró la CMEK para el recurso.
Filtrar por:

Servicios y recursos Puede heredar la clave Puedes usar una clave única Puede cambiar la llave Datos nuevos Datos existentes

Application Integration

  • integrations.googleapis.com/IntegrationVersion
  • integrations.googleapis.com/AuthConfig
  • integrations.googleapis.com/Execution
  • integrations.googleapis.com/Suspension
  • integrations.googleapis.com/TestCase
  • integrations.googleapis.com/Template
 No Usa la nueva versión de clave primaria Usa la versión de clave original

Cloud Storage

  • storage.googleapis.com/Bucket
 No Usa la nueva versión de clave primaria Usa la nueva versión de clave primaria

Cloud Storage

  • storage.googleapis.com/Object
 No N/A: Este recurso es inmutable. Usa la versión de clave original

Customer Experience Insights

  • contactcenterinsights.googleapis.com/*
 No No Desconocido Desconocido

Filestore

  • file.googleapis.com/instance
  • file.googleapis.com/backup
 No No Usa la nueva versión de clave primaria Usa la versión de clave original

Firestore

  • firestore.googleapis.com/Database
  • datastore.googleapis.com/Database
 No No Usa la nueva versión de clave primaria Usa la nueva versión de clave primaria

Gemini Code Assist

  • cloudaicompanion.googleapis.com/CodeRepositoryIndex
 No No Usa la versión de clave original Usa la versión de clave original

Pub/Sub

  • pubsub.googleapis.com/Topic
 No Usa la nueva versión de clave primaria Usa la versión de clave original

Speech‑to‑Text

  • speech.googleapis.com/Config
 No Usa la nueva versión de clave primaria Usa la versión de clave original

Speech‑to‑Text

  • speech.googleapis.com/CustomClass
  • speech.googleapis.com/Endpoint
  • speech.googleapis.com/Model
  • speech.googleapis.com/PhraseSet
  • speech.googleapis.com/Recognizer
 No Usa la nueva versión de clave primaria Usa la versión de clave original

¿Qué sigue?